vSphere 仮想マシンの暗号化を使用している環境で ESXi ホストのエラーが発生すると、その結果として出力されるコア ダンプは、ユーザーのデータを保護するために暗号化されます。vm-support パッケージに含まれるコア ダンプも暗号化されます。
ESXiホスト上のコア ダンプ
ESXi ホスト、ユーザー ワールド、または仮想マシンで障害が発生すると、コア ダンプが生成され、ホストは再起動します。ESXi ホストの暗号化モードが有効になっている場合、このコア ダンプは ESXi キー キャッシュ内にあるキーを使用して暗号化されます。(使用中のキー プロバイダによっては、外部キー サーバ、キー プロバイダ サービス、または vCenter Server からキーが取得されます)。背景情報については、vSphere 仮想マシンの暗号化で環境を保護する方法を参照してください。
ESXi ホストが暗号的な意味で「安全」なときにコア ダンプが生成されると、イベントが作成されます。このイベントにより、コア ダンプが発生したこと、および次の情報が示されます。ワールド名、発生時刻、コア ダンプの暗号化に使用されたキーの keyID、コア ダンプ ファイル名。イベントは、vCenter Server の [タスクとイベント] のイベント ビューアで確認できます。
次の表に、各 vSphere リリースで使用される暗号化キーをコア ダンプの種類ごとに示します。
コア ダンプの種類 | 暗号化キー (ESXi 6.5) | 暗号化キー(ESXi 6.7 以降) |
---|---|---|
ESXi カーネル | ホスト キー | ホスト キー |
ユーザー ワールド (hostd) | ホスト キー | ホスト キー |
暗号化された仮想マシン (VM) | ホスト キー | 仮想マシン キー |
- ほとんどの場合、キー プロバイダは再起動後にキーを ESXi ホストにプッシュすることを試行します。この操作が成功すると、vm-support パッケージを生成でき、コア ダンプを復号化または再暗号化できます。暗号化されたコア ダンプの復号または再暗号化を参照してください。
- vCenter Serverから ESXi ホストに接続できない場合、キーを取得できる可能性があります。暗号化キーが使用できない問題の解決を参照してください。
- ホストでカスタム キーを使用していた場合、そのキーが vCenter Server からホストにプッシュされたキーと異なると、コア ダンプを操作できません。カスタム キーの使用は避けてください。
コア ダンプと vm-support パッケージ
深刻なエラーが発生し、VMware テクニカル サポートに連絡すると、サポート担当者は通常、vm-support パッケージを生成するように要請します。このパッケージには、ログ ファイルのほか、コア ダンプなどの情報が含まれます。サポート担当者がログ ファイルやその他の情報を調べても問題を解決できない場合、コア ダンプを復号化して、必要な情報を参照できるようにすることを要請する可能性があります。キーなどの機密情報を保護するために、組織のセキュリティおよびプライバシー ポリシーを守ってください。暗号化を使用する ESXi ホストにある vm-support パッケージの収集を参照してください。
vCenter Serverシステム上のコア ダンプ
vCenter Serverシステム上のコア ダンプは、暗号化されていません。vCenter Serverにはすでに、機密である可能性のある情報が存在します。少なくとも、vCenter Server が保護されていることを確認します。vCenter Server システムのセキュリティを参照してください。また、vCenter Server システムのコア ダンプを無効にすることも考えられます。ログ ファイル内のその他の情報によって問題を解決できる可能性があります。
暗号化を使用する ESXi ホストにある vm-support パッケージの収集
ESXi ホストでホスト暗号化モードが有効になっている場合、vm-support パッケージのコア ダンプはすべて暗号化されます。vSphere Client からパッケージを収集し、後でコア ダンプを復号する必要がある場合は、パスワードを指定できます。
vm-support パッケージにはログ ファイルやコア ダンプ ファイルなどが含まれています。
前提条件
ESXi ホストでホスト暗号化モードが有効になっていることをサポート担当者に伝えてください。サポート担当者から、コア ダンプを復号して必要な情報を抽出するように依頼される場合がありますが、
手順
暗号化されたコア ダンプの復号または再暗号化
ESXi ホスト上で暗号化されているコア ダンプは crypto-util CLI を使用して復号化または再暗号化できます。
vm-support パッケージに含まれるコア ダンプは手動で復号化できます。コア ダンプには機密情報が含まれることがあります。組織のセキュリティ ポリシーおよびプライバシー ポリシーに従って、キーなどの機密情報を保護してください。
前提条件
コア ダンプの暗号化に使用されたキーが、コア ダンプを生成した ESXi ホストで使用可能であることが必要です。